Indeed AM
Настройка доступна при включении опции Интеграция с Indeed Access Manager в разделе Общие функции Мастера настройки Indeed CM.
Indeed Certificate Manager можно интегрировать с другими продуктами компании Индид – Indeed Access Manager и Indeed AM Enterprise Single Sign-On. Интеграция позволит объединить в единый процесс операции выпуска устройства, запроса сертификата, записи сертификата и регистрации аутентификатора «Смарт-карта или USB-ключ + PIN» пользователя Indeed AM.
Выпущенное подобным образом устройство можно использовать как для аутентификации в домене и SSO-приложениях, так и для цифровой подписи или доступа к ресурсам, требующих наличие персональных сертификатов. Интеграция между системами возможна на любом этапе, независимо от того, какой из продуктов был развернут раньше.
Настройка интеграции Indeed CM и Indeed AM состоит из двух этапов:
- Установка и настройка компонентов.
- Конфигурирование параметров интеграции.
Установка и настройка компонентов
- Установите следующие компоненты:
- Indeed Administration Tools (или Indeed Admin Pack) на каждый сервер Indeed CM;
- Indeed Extended Security Provider на каждый сервер Indeed AM;
- Indeed AM SmartCard Provider на каждый сервер Indeed AM.
Indeed Administration Tools поставляется в дистрибутиве Indeed Access Manager.
Indeed Extended Security Provider и Indeed AM SmartCard Provider предоставляет по запросу служба технической поддержки компании Индид.
Настройте Extended Security Provider:
- Создайте группу безопасности Indeed-ID Enrollment Admins согласно Руководству по установке и эксплуатации Indeed Extended Security Provider.
- Добавьте сервисную учетную запись в группы безопасности Indeed-ID User Admins и Indeed-ID Enrollment Admins.
Параметры интеграции с Indeed AM
Чтобы задать параметры интеграции с Indeed AM, перейдите в конфигурацию выбранной политики использования устройств и откройте раздел Indeed AM.
| Параметр | Описание |
|---|---|
| Включить интеграцию с Indeed AM | Если опция включена, то при выпуске устройства в Indeed CM будет выпускаться и аутентификатор «Смарт-карта или USB-ключ + PIN» в Indeed AM. |
| Использовать прокси-сервер Indeed AM | Если опция включена, то Indeed CM будет обращаться к прокси-серверу Indeed AM, который направит запрос на серверы Indeed AM. Использование прокси-сервера необходимо, если серверы Indeed CM располагаются за пределами домена, в котором установлен Indeed AM. |
| URL-адрес прокси-сервера | Адрес, по которому доступен Indeed AM Proxy Server. |
| Имя пользователя Пароль | Учетные данные пользователя (логин и доменный пароль), входящего в группы безопасности Indeed-ID User Admins и Indeed-ID Enrollment Admins. |
| Разрешить использование Indeed AM Windows Logon | Если опция включена, то при выпуске устройства в Indeed CM пользователю будет разрешено использование технологии Indeed для аутентификации в домене при помощи компонента Indeed AM Windows Logon. |
| Разрешить использование Indeed AM Enterprise Single Sign-On | Если опция включена, то при выпуске устройства в Indeed CM пользователю будет разрешено использование технологии Indeed для аутентификации в приложениях при помощи компонента Indeed AM Enterprise SSO Agent. |
| Генерировать случайный пароль учетной записи Windows | Если опция включена, то при выпуске устройства в Indeed CM для пользователя будет установлена опция генерации случайного доменного пароля. В этом случае при истечении срока действия пароля новый пароль будет сгенерирован случайным образом и будет известен только системе Indeed AM. |
Если удалить последний зарегистрированный аутентификатор пользователя, то разрешения на использование Indeed AM Windows Logon, Indeed AM Enterprise Single Sign-On и генерацию случайного пароля будут выключены.
Если у пользователя не было ни одного аутентификатора в Indeed AM и ни одного устройства в Indeed CM, то после выпуска устройства с настроенными параметрами интеграции у пользователя появится один аутентификатор («Смарт-карта или USB-ключ + PIN») в Indeed AM и одно устройство (например, eToken) в Indeed CM.
В случае удаления устройства в Indeed CM, удалится и аутентификатор в Indeed AM, а если других обученных аутентификаторов нет, отключатся и разрешения на использование Indeed AM Windows Logon, Indeed AM Enterprise Single Sign-On и генерация случайного пароля (если хотя бы одна из этих опций была активна на момент отзыва).